Cloud SQL for MySQL

概要

本ページでは、Keeperローテーションを使用して、GCP環境におけるGoogle Cloud MySQLのデータベースユーザーおよび管理者アカウントのパスワードをローテーションする方法について取り扱います。Cloud SQL for MySQLはGCPのマネージドリソースであり、MySQL管理者の認証情報はPAMデータベースレコードタイプで定義され、MySQLユーザーの設定はPAMユーザーレコードタイプで定義されます。

一般ユーザーのデータベースアカウントのパスワードをローテーションする際には、管理者の認証情報を使用してデータベースインスタンスに接続し、パスワード変更に必要なSQL文を実行します。

要件

以下の作業がすでに完了していることを前提としています。

• ロールに対してKeeperシークレットマネージャーが有効になっていること

• ロールに対してKeeperローテーションが有効になっていること

• Keeperシークレットマネージャーのアプリケーションが作成されていること

• Keeperローテーションゲートウェイがインストールされ、稼働しており、GCPのMySQLデータベースと通信できる状態であること

• Google Cloud環境が、当社ドキュメントに従って構成されていること

1. PAMデータベースレコードのセットアップ

PAMデータベースレコードには、Google Cloud SQL上のMySQLインスタンスに接続するために必要な管理者の認証情報および各種設定を定義します。Keeperローテーションは、これらの設定情報を使用して、MySQLのCloud SQLインスタンスに存在する一般データベースユーザーアカウントのパスワードをローテーションします。また、ここで指定する管理者の認証情報には、データベースユーザーアカウントの認証情報を変更できる十分な権限が付与されている必要があります。

以下は、PAMデータベースレコードの必須フィールドとなります。

管理者の認証情報を含むこのPAMデータベースレコードは、要件で作成したKSMアプリケーションと共有されている共有フォルダに配置する必要があります。この特権アカウントへのアクセスはKSMアプリケーションのみに付与すれば十分であり、ユーザーと共有する必要はありません。

2. PAM構成の作成

(すでにこの環境用のPAM構成が設定されている場合は、この手順を省略できます。)

ボルトの左側メニューから [シークレットマネージャー] を選択し、[PAM構成] タブを開いて、[新しい構成] をクリックします。

以下は、PAM構成レコードの必須フィールドとなります。

3. PAMユーザーレコードの設定

Keeperローテーションは、PAMデータベースレコードに含まれる認証情報を使用して、Google Cloud環境におけるPAMユーザーレコードのパスワードをローテーションします。PAMユーザーの認証情報は、要件で作成したKSMアプリケーションと共有されている共有フォルダに配置する必要があります。

以下は、PAMユーザーレコードの必須フィールドとなります。

4. PAMユーザーレコードでのローテーション設定

手順3で作成したPAMユーザーレコードを選択し、レコードを編集して [パスワードローテーション設定] を開きます。

• 希望するスケジュールとパスワードの複雑さを選択します。

• [ローテーション設定] では、前の手順で設定したPAM構成を使用します。

• [リソース認証情報] フィールドでは、手順1で設定したPAMデータベースの認証情報を選択します。

• 保存すると、ローテーションボタンが有効になり、手動実行または選択したスケジュールに基づいてローテーションを実行できるようになります。